Кто является пользователем root в mac os
Обновлено: 21.11.2024
Администраторам Mac часто приходится иметь дело с привилегиями пользователей для файлов и процессов. При этом мы будем использовать права администратора и sudo, даже не задумываясь.
Однако правильное понимание того, что на самом деле делают и означают эти привилегии и процессы, может помочь предотвратить многие проблемы при управлении компьютерами Mac.
Немного истории
macOS основана на BSD Unix, которая восходит к временам, когда большие мейнфреймы были настолько дорогими, что их приходилось использовать многим пользователям. Пользователи и их права доступа контролируют то, что любой пользователь может читать, писать или изменять в системе. Эти правила предотвращают конфликты, а также потерю или кражу данных. При управлении этими пользователями и их правами доступа должен быть первый, «верхний» или «суперпользователь», который имеет доступ ко всему.
В Unix и Unix-подобных системах эта учетная запись пользователя традиционно называется root . В macOS этого пользователя часто называют «системным администратором».
Классическая Mac OS, напротив, не имела встроенной в систему концепции нескольких пользователей. Любой человек, сидящий за Mac (и любой процесс, запущенный на этом Mac), может получить доступ и изменить что угодно в этой системе. Было несколько попыток добавить многопользовательские функции в классическую Mac OS, но они были «добавлены, а не встроены», и их было довольно легко обойти, когда пользователь знал, что делать.
Управление пользователями и процессами было одним из основных преимуществ, которые Apple рекламировала для различных систем «следующего поколения», представленных Apple в 90-х годах на смену классической Mac OS. Когда Apple купила NeXT, а вместе с ней и операционную систему NeXTStep, она унаследовала модель Unix.
Несмотря на то, что концепция общего доступа к компьютеру теперь используется в некоторых аудиторных лабораториях и суперкомпьютерных кластерах, эта модель по-прежнему присутствует на каждом устройстве с macOS и iOS. На iOS он совершенно невидим для пользователя, если только не применен джейлбрейк. Однако в macOS пользователям и особенно администраторам приходится иметь дело с этим каждый день.
Пользователи macOS
Чтобы создать нового пользователя в macOS, перейдите на панель настроек «Пользователи и группы» в Системных настройках. Прежде чем вы сможете добавить нового пользователя, вы должны разблокировать панель настроек, щелкнув значок замка в левом нижнем углу. Затем система запросит имя пользователя и пароль с правами администратора.
Если учетная запись, под которой вы вошли, имеет права администратора, ее имя будет предварительно заполнено. Если учетная запись является стандартным пользователем, поле имени пользователя будет пустым, и вы сможете ввести имя и пароль другого пользователя.
После разблокировки панели вы можете нажать значок «+» под пользователем, и вам будет предложено четыре варианта для нового пользователя (из всплывающего меню рядом с «Новая учетная запись»):
- Администратор
- Стандартный (по умолчанию)
- Управляется с помощью родительского контроля
- Только общий доступ
Есть три типа пользователей, которых нет во всплывающем списке
- Гость
- Системный администратор
- пользователи системных служб
Разница между учетными записями администратора и стандартной учетной записью заключается в том, что учетные записи администратора являются членами «Администраторов» или группы администраторов. Звучит просто, но членство в этой группе дает много дополнительных преимуществ.
В повседневном использовании учетные записи администратора и стандартные учетные записи ведут себя одинаково. Однако во многих ситуациях и рабочих процессах в macOS требуется аутентификация в качестве учетной записи администратора. Как правило, пользователь может влиять на все файлы (и приложения) в своем домашнем каталоге и в /Users/Shared, но как только вы захотите изменить другого пользователя, файлы или настройки другого пользователя, которые влияют на всех пользователей в системе вам необходимо пройти аутентификацию в качестве учетной записи администратора.
Первый пользователь, созданный на неуправляемом Mac из коробки, всегда будет пользователем с правами администратора. Большинство пользователей Mac используют учетную запись администратора. Многие рабочие процессы, встроенные в macOS, предполагают наличие учетной записи администратора. Одним из примеров является настройка нового принтера.
С учетной записью администратора вы можете устанавливать стороннее программное обеспечение. Вы также можете установить вредоносное программное обеспечение. Часто вредоносное программное обеспечение обманным путем заставляет пользователей выполнять установку, маскируясь под программу установки или прячась за чем-то полезным.
Многие считают «лучшей практикой» выполнять повседневную работу на Mac со стандартной учетной записью и использовать административную учетную запись только в случае необходимости. Однако, поскольку вам будет предложено пройти аутентификацию даже с учетной записью администратора, лучше всего отнестись к этим запросам очень серьезно и подумать, что действительно сделает или установит подтверждение этого запроса.
Единственная разница, которую вы получаете при использовании стандартная учетная запись заключается в том, что вам нужно ввести другое имя пользователя и пароль в поле аутентификации, а не только пароль. Если это поможет вам сделать паузу и подумать о том, что вы на самом деле делаете, тогда отлично! Тогда это правильный рабочий процесс для вас.
Однако я подозреваю, что большинство пользователей отнеслись бы к этому диалоговому окну с отдельным именем пользователя и паролем так же небрежно, как и в противном случае.
Учетные записи администратора macOS
Единственная разница между учетными записями администратора и стандартными учетными записями заключается в членстве в группе администраторов.
Вы можете проверить, является ли данный пользователь членом группы администраторов, с помощью инструмента dseditgroup:
Вы также можете использовать этот инструмент для добавления или удаления пользователя из группы администраторов:
Это членство дает множество привилегий. Пользователи с правами администратора могут (после аутентификации):
- разблокировать Системные настройки и изменить системные настройки
- установить программное обеспечение и установочные пакеты Apple и сторонних производителей
- создавать, изменять и удалять файлы, принадлежащие другим пользователям
- изменить права доступа и права собственности на файлы или папки в Finder
- запускать и останавливать (убивать) процессы, принадлежащие другим пользователям
- использовать sudo в Терминале
и многое другое.
В macOS эти привилегии контролируются в основном двумя механизмами:
- sudo и файл sudoers
- база данных авторизации
sudo используется для получения привилегий root в оболочке (терминал). База данных авторизации контролирует привилегии доступа везде.
Что может root
«Системный администратор» или учетная запись root управляет системой. В основном учетная запись root может читать, обновлять и удалять все локальные учетные записи пользователей. Он может управлять привилегиями и владельцами файлов и папок. Он может запускать системные службы, работающие в фоновом режиме, и назначать системные сетевые порты (с номером порта ниже 1000). Большая часть этого управляется процессом под названием launchd, который является первым процессом, запускаемым в macOS.
Многие команды необходимо запускать от имени пользователя root или с повышенными привилегиями root.
Что не может делать root: защита целостности системы (SIP)
Однако в macOS есть ограничения на то, что может делать учетная запись root. Защита целостности системы — это механизм, защищающий важные части ОС от модификации даже с правами суперпользователя.
Только определенные процессы, подписанные Apple, могут изменять эти защищенные файлы и каталоги. Обычно это означает, что Apple подписала установочные пакеты для программного обеспечения и обновлений безопасности.
Apple перечисляет набор защищенных каталогов верхнего уровня. Тем не менее, список немного более подробный. Вы можете использовать -O (заглавная буква «О», а не ноль), чтобы узнать, защищен ли файл или каталог SIP:
Файлы и папки, помеченные как ограниченные, защищены SIP. Иногда папки внутри защищенной папки могут быть не защищены, как в данном примере это каталог /usr/local/.
SIP обеспечивает большую защиту, чем просто определенные части файловой системы, он также защищает изменение загрузочного тома и некоторые другие аспекты ОС.
Хотя эти ограничения даже для учетной записи root могут раздражать, они обеспечивают уровень безопасности, при котором части ОС не были изменены или изменены другим программным обеспечением.
Включение (и отключение) root
В macOS корневая учетная запись существует с UID «0». Однако он настроен таким образом, что вы не можете войти на Mac как «Системный администратор» или root. (Ужасная ошибка в начале 10.13 привела к кратковременному исключению из этого правила.)
Примечание: вход в систему с правами root отключен в целях безопасности. Настоятельно рекомендуется оставить учетную запись root отключенной в macOS и при необходимости полагаться на sudo для получения временных привилегий суперпользователя.
Если по какой-то причине вам нужно войти в систему как root , вы можете включить root и предоставить ему пароль. Вы можете сделать это в любом приложении «Directory Utility». После разблокировки с помощью пароля администратора выберите «Включить root-пользователя» в меню «Правка». Вы также можете изменить пароль учетной записи root здесь или отключить его позже.
Из командной строки вы также можете использовать команду dsenableroot:
включит и/или обновит учетную запись root. Он интерактивно запросит учетные данные администратора и новый пароль для учетной записи root. Прочтите справочную страницу команды для получения подробной информации.
снова интерактивно отключит учетную запись root.
Становление root
В разных средах и инструментах используются разные способы получения привилегий суперпользователя или суперпользователя. Хотя команда sudo должна быть предпочтительным средством получения временных привилегий суперпользователя, важно знать и понимать другие параметры.
Запуск демонов
Сценарии и инструменты, выполняемые из LaunchDaemons, запускаются от имени пользователя root, если в ключе UserName в списке свойств launchd не указан другой пользователь.
С другой стороны, LaunchAgents будет выполняться при входе пользователя в систему.
Запуск от имени пользователя root в ARD
Когда вы готовите «команду UNIX» для отправки на удаленные компьютеры в Apple Remote Desktop, у вас есть возможность запустить команду от имени пользователя, вошедшего в систему, или от имени конкретного пользователя. Когда вы укажете root в качестве пользователя, скрипт будет выполняться с привилегиями суперпользователя. Поскольку процесс агента ARD запускается на клиенте с правами root, дополнительная аутентификация или включенная учетная запись root не требуются.
Системы управления
Агентское программное обеспечение большинства систем управления (Jamf, Munki и т. д.) устанавливается для запуска с привилегиями root. Поэтому сценарии, выполняемые системами управления, также выполняются с привилегиями root.
Сценарии установки
Установочные пакеты также выполняют свою задачу с привилегиями root. Они также требуют аутентификации администратора для запуска. Любые установочные скрипты (до/послеустановочные скрипты) также будут выполняться с привилегиями суперпользователя.
установить биты UID
Существует специальный бит, который вы можете установить для режима исполняемого файла (или привилегий), который указывает системе запускать этот скрипт от имени владельца файла, независимо от того, кто на самом деле запускает исполняемый файл. Если исполняемый файл принадлежит пользователю root, он будет запущен с привилегиями root.
Этот флаг представляет собой бит установки идентификатора пользователя при выполнении, также называемый битом установки идентификатора пользователя или просто битом s.
В длинном формате ls или при использовании команды stat бит set-user-ID отображается как «s» вместо пользовательского бита x. Одним из примеров является команда ps:
Используйте u+s команды chmod, чтобы установить бит set-user-ID, и u-s, чтобы удалить его:
Предупреждение: очевидно, очень важно, чтобы этот исполняемый файл не мог быть изменен другими пользователями. Они смогут заменить команду своим собственным кодом и выполнить что угодно с привилегиями root. Большинство системных команд, для которых в macOS установлен бит s, защищены протоколом SIP.
Команда sudo
Как упоминалось ранее, рекомендуемым способом получения привилегий суперпользователя из командной строки в macOS является команда sudo. Имя означает «суперпользователь делать» и выполнит следующую команду с привилегиями суперпользователя после проверки того, что пользователь, запускающий sudo, имеет на это разрешение.
Для самых сложных задач требуется самая мощная учетная запись пользователя из всех: пользователь root. Когда вы входите в систему как root, у вас есть права на чтение и запись для каждого файла на вашем Mac. Эта удивительная сила позволяет вам обойти любые ограничения учетной записи или разрешений, но будьте осторожны! Вы действительно можете все испортить, если не знаете, что делаете.
Предупреждение. По умолчанию учетная запись root отключена. Чтобы предотвратить несчастные случаи, вы должны включать и использовать учетную запись root только тогда, когда вам это абсолютно необходимо.
Действовать как root с Sudo
Прежде чем вы включите учетную запись пользователя root на своем Mac, вы должны знать об альтернативе под названием sudo . Как и в других операционных системах на основе Unix, эта команда позволяет администраторам временно действовать как пользователь root на Mac. Просто откройте приложение «Терминал» и предварите команду Unix sudo , например:
Большинство команд можно выполнить с помощью sudo , но вам потребуется пройти аутентификацию с помощью пароля администратора, чтобы выполнить команду от имени пользователя root. Системные администраторы считают использование sudo лучшей практикой — вы всегда должны попробовать использовать sudo, прежде чем войти в систему как root!
Включение корневой учетной записи пользователя
Готовы включить учетную запись суперпользователя на своем Mac? Вот как включить учетную запись пользователя root на Mac и установить пароль:
В меню Apple выберите «Системные настройки».
Выберите пользователей и группы.
Нажмите значок замка и войдите в систему с учетной записью администратора.
Выберите параметры входа.
Нажмите «Присоединиться», как показано на рисунке ниже.
Нажмите кнопку Открыть утилиту каталогов. Появится окно утилиты каталогов.
Нажмите значок замка и войдите в систему с учетной записью администратора.
В меню "Правка" выберите "Включить привилегированного пользователя".
Введите пароль для пользователя root в полях Password и Verify.
Нажмите OK, чтобы включить пользователя root и сохранить пароль.
Вход в систему как root
Теперь вы можете войти в систему как пользователь root на экране входа в macOS. Когда появится список пользователей, нажмите «Другие», введите root в поле «Имя» и введите свой пароль root в поле пароля. Вы будете входить в систему как root, пока не выйдете из системы, не перезагрузите или не выключите компьютер.
Совет. Чтобы войти в систему как пользователь root с экрана входа в macOS, у вас должен быть отключен автоматический вход в систему и FileVault. Следуйте инструкциям в нашем руководстве «Как защитить паролем свой Mac».
Если вы хорошо разбираетесь в командной строке и не хотите входить на свой компьютер в качестве пользователя root, вы можете ввести команду su в приложении «Терминал».Введите пароль учетной записи пользователя root, и вы будете действовать как пользователь root на время сеанса терминала или до тех пор, пока не наберете exit . Помните, что вы должны входить в систему как пользователь root только в случае крайней необходимости.
Отключение корневой учетной записи пользователя
После того, как вы использовали учетную запись пользователя root для игры мускулами суперпользователя, вам следует подумать об отключении ее в целях безопасности. Вот как отключить учетную запись пользователя root на Mac:
- В меню Apple выберите «Системные настройки».
- Выберите «Пользователи и группы».
- Нажмите значок замка и войдите в систему с учетной записью администратора.
- Выберите параметры входа.
- Нажмите «Присоединиться», как показано на рисунке ниже.
- Нажмите «Открыть утилиту каталогов». Появится окно утилиты каталогов.
- Нажмите на замок и войдите в систему с учетной записью администратора.
- В меню «Правка» выберите «Отключить привилегированного пользователя». Теперь пользователь root отключен.
Статьи по теме
Подпишитесь на нашу рассылку по электронной почте
Зарегистрируйтесь и получайте учебные пособия Macinstruct на свой почтовый ящик. Никакого спама, обещаем!
Джастин Пот
Джастин Пот
Писатель
Джастин Пот пишет о технологиях уже более десяти лет. Его работы публикуются в журналах Digital Trends, The Next Web, Lifehacker, MakeUseOf и в блоге Zapier. Он также руководит Hillsboro Signal, местным новостным агентством, которое он основал на добровольных началах. Подробнее.
Хотите включить учетную запись root на своем Mac? Вы можете, но функциональность немного скрыта в Системных настройках. Вот как его найти.
Если вы являетесь основным пользователем Mac, скорее всего, вы используете учетную запись администратора. Это предоставляет уровень разрешений, необходимый для таких действий, как установка программного обеспечения и изменение системных настроек, но не дает вам разрешения на доступ ко всему. Например, вы не можете вносить изменения в файлы других пользователей или даже просматривать большинство из них. Учетная запись root может получить доступ ко всему.
Есть еще одна причина включить учетную запись root: безопасность. В прошлом году исследователи обнаружили ошибку, которая позволяла любому стать привилегированным пользователем, и, хотя сейчас она исправлена, самостоятельное создание учетной записи root предотвратит повторение чего-либо подобного в будущем.
Однако включайте root только в том случае, если у вас есть для этого особая причина. Пользователь root может получить доступ почти ко всему — по крайней мере, ко всему, что не защищено системой защиты целостности системы, — что требует больших усилий. Не создавайте эту мощь, если у вас нет особой необходимости ее использовать, и ни при каких обстоятельствах вы не должны использовать учетную запись root для повседневных вычислений.
Включить учетную запись root
Откройте Системные настройки, а затем откройте элемент «Пользователи и группы».
В окне "Пользователи и группы" нажмите на замок в левом нижнем углу, введите свой пароль, а затем нажмите на ссылку "Варианты входа" прямо над замком.
Затем нажмите кнопку «Присоединиться» рядом с записью «Сервер сетевых учетных записей».
Во всплывающем окне нажмите кнопку «Открыть утилиту каталогов», и откроется еще одно окно.
В окне «Утилита каталогов» снова нажмите на замок в левом нижнем углу, а затем введите свой пароль (или используйте Touch ID).
В строке меню откройте меню «Правка», а затем нажмите команду «Включить привилегированного пользователя».
Вам будет предложено создать новый пароль root; убедитесь, что вы создали сильный, который вы можете запомнить.
Войти как пользователь root
Теперь вы создали корневую учетную запись, но как вы ее используете? Войдя в систему как root. В окне входа в систему, к которому вы можете получить доступ, выйдя из своей учетной записи или с помощью значка быстрого переключения пользователей в строке меню, появится новая опция «Другое…». Нажмите на нее.
Введите «root» в качестве имени пользователя и используйте новый пароль, который вы создали для root.
Вы войдете в учетную запись, которая выглядит как стандартная учетная запись пользователя Mac, но не используйте ее в качестве основной учетной записи: у нее слишком большой доступ к системе для безопасного использования.
Отключить корневую учетную запись или изменить корневой пароль
Готово с использованием учетной записи root? Вы можете отключить его из утилиты каталогов, к которой вы можете получить доступ, как описано выше, используя «Системные настройки»> «Пользователи и группы»> «Параметры входа». В утилите каталогов нажмите «Изменить» в строке меню, и вы найдете команды «Отключить пользователя root» и «Изменить пароль root».
И хотя мы уже упоминали об этом пару раз, стоит повторить. Хотя это может показаться заманчивым, не используйте root как обычную учетную запись. Войдите в систему, когда вам понадобится расширенный доступ, а затем снова выйдите из системы.
- › Как восстановить метки панели задач в Windows 11
- › Почему не было Windows 9?
- ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)
- › Почему прозрачные чехлы для телефонов желтеют?
- › Что означает XD и как вы его используете?
- › Как установить Google Play Маркет в Windows 11
Администраторы Mac могут использовать учетную запись пользователя root для выполнения задач, требующих доступа к большему количеству областей системы.
Учетная запись пользователя с именем «root» является суперпользователем с правами на чтение и запись в другие области системы, включая файлы в других учетных записях пользователей macOS. По умолчанию пользователь root отключен. Если вы можете войти на свой Mac с учетной записью администратора, вы можете включить пользователя root, а затем войти в систему как пользователь root, чтобы выполнить свою задачу.
Учетная запись пользователя root не предназначена для повседневного использования. Его привилегии позволяют вносить изменения в файлы, необходимые для вашего Mac. Чтобы отменить такие изменения, вам может потребоваться переустановить системное программное обеспечение. Вы должны отключить пользователя root после завершения вашей задачи.
Безопаснее использовать команду sudo в терминале, а не включать пользователя root. Чтобы узнать о sudo , откройте приложение "Терминал" и введите man sudo .
Включить или отключить пользователя root
- Выберите меню Apple () > «Системные настройки», затем нажмите «Пользователи и группы» (или «Учетные записи»).
- Нажмите , затем введите имя и пароль администратора.
- Нажмите «Параметры входа».
- Нажмите "Присоединиться" (или "Изменить").
- Нажмите «Открыть утилиту каталогов».
- Нажмите в окне утилиты каталогов, затем введите имя и пароль администратора.
- В строке меню Службы каталогов:
- Выберите «Правка» > «Включить привилегированного пользователя», затем введите пароль, который вы хотите использовать для привилегированного пользователя.
- Или выберите «Правка» > «Отключить привилегированного пользователя».
Войдите как пользователь root
Если включен пользователь root, вы имеете привилегии пользователя root только при входе в систему как пользователь root.
- Выберите меню Apple > «Выйти», чтобы выйти из текущей учетной записи пользователя.
- В окне входа войдите в систему с именем пользователя «root» и паролем, который вы создали для пользователя root.
Если окно входа представляет собой список пользователей, нажмите «Другое» и войдите в систему.
Не забудьте отключить пользователя root после завершения задачи.
Хотя большинству продвинутых пользователей Mac проще всего включить root с помощью Directory Utility из графического интерфейса Mac OS X, другим вариантом является обращение к командной строке. Нет, мы не говорим об использовании sudo или su, мы говорим о включении фактической учетной записи пользователя root, что может быть уместно в некоторых сложных ситуациях.
Для тех, кто знаком с Терминалом и знаком с синтаксисом командной строки, включение учетной записи пользователя root в Mac OS X из командной строки может быть даже проще, чем из приложения Directory Utility, поскольку требуется меньше шагов. для включения и отключения учетной записи пользователя root, либо широко, либо для каждого пользователя. Это также выгодно тем, что его можно включить удаленно через SSH на любом Mac, к которому можно подключиться.
Очень важно отметить, что включение учетной записи пользователя root предназначено только для опытных пользователей, которые понимают, когда и почему могут потребоваться универсальные права суперпользователя. Это редко требуется кому-либо, кроме системных администраторов, или для устранения некоторых особенно сложных и сложных проблем, и для подавляющего большинства целей в большинстве случаев достаточно просто использовать sudo или запустить приложение с графическим интерфейсом от имени пользователя root.
Если вы не знаете, что делаете, не включайте учетную запись пользователя root и не используйте учетную запись пользователя root.Поскольку пользователь root имеет универсальный привилегированный доступ ко всему в Mac OS X, довольно легко что-то испортить, а оставление активной учетной записи может привести к угрозе безопасности. Это действительно только для опытных пользователей Mac.
Включить учетную запись пользователя root из командной строки Mac OS X с помощью dsenableroot
Простой инструмент командной строки с соответствующим названием «dsenableroot» быстро активирует учетную запись пользователя root в Mac OS X. В самой простой форме просто введите «dsenableroot» в командной строке терминала, введите пароль пользователя, затем введите и подтвердите пароль пользователя root.
% dsenableroot
имя пользователя = Paul
пароль пользователя:
пароль root:
подтвердите пароль root:
dsenableroot:: ***Успешно включен пользователь root.< /p>
Когда вы увидите сообщение «dsenableroot:: ***Успешно включенный пользователь root». сообщение, вы знаете, что пользователь root был включен с только что определенным паролем.
При желании вы также можете включить привилегированного пользователя для каждой учетной записи пользователя, указав флаг -u:
dsenableroot -u Пол
Замена «Пол» на любое имя пользователя на конкретном Mac будет работать.
Конечно, когда вы закончите с пользователем root, вы также можете отключить доступ к учетной записи root.
Отключить корневую учетную запись пользователя из командной строки в Mac OS X
Передача флага -d в ту же командную строку dsenableroot полностью отключит пользователя root, например:
% dsenableroot -d
имя пользователя = Paul
пароль пользователя:
dsenableroot:: ***Успешно отключен пользователь root.
Сообщение «dsenableroot:: ***Успешно отключен пользователь root». указывает, что учетная запись root теперь отключена.
Подобно включению определенного пользователя, вы также можете отключить для определенного пользователя с помощью флага -d и -u:
dsenableroot -d -u Пол
Это может быть уместно в ситуации, когда для конкретной учетной записи пользователя больше не требуются привилегии root.
Вообще говоря, рекомендуется оставить учетную запись пользователя root отключенной.
Утилита dsenableroot работает в MacOS Sierra, OS X El Capitan, OS X Yosemite, OS X Mavericks, Mountain Lion и т. д. .
Читайте также: